Inside Job! อดีตนักพัฒนาซอฟต์แวร์วาง 'Kill-Switch Malware' ทำลายบริษัท ถูกตัดสินจำคุก 4 ปี

เรื่องราวสุดช็อกในวงการ Cybersecurity นี้เกิดขึ้นกับบริษัทในรัฐโอไฮโอ เมื่ออดีตนักพัฒนาซอฟต์แวร์รายหนึ่งถูกตัดสินจำคุก 4 ปี หลังจากใช้ความรู้ทางเทคนิคของตนเองในการทำลายระบบเครือข่ายของบริษัทด้วย Malware ที่สร้างขึ้นเอง พร้อมทั้งติดตั้ง Kill Switch หรือ 'สวิตช์มรณะ' ที่ล็อกไม่ให้พนักงานคนอื่นใช้งานระบบได้เมื่อบัญชีของเขาถูกปิดใช้งาน Davis Lu ชายชาวจีนวัย 55 ปีจากเมืองฮิวสตัน รัฐเท็กซัส ถูกจับกุมและตั้งข้อหาตั้งแต่เดือนเมษายน 2021 หลังจากที่เขาถูกตัดสินว่ามีความผิดฐานจงใจทำให้เกิดความเสียหายต่อคอมพิวเตอร์ในเดือนมีนาคม 2025 แม้จะไม่มีการเปิดเผยชื่อบริษัทอย่างเป็นทางการ แต่ Cleveland.com ระบุว่าเขาเคยทำงานให้กับ Eaton Corporation ซึ่งเป็นบริษัทข้ามชาติที่ดูแลด้านระบบพลังงาน Matthew R. Galeotti รักษาการผู้ช่วยอัยการสูงสุดจากกรมอาชญากรรมของกระทรวงยุติธรรมสหรัฐฯ กล่าวว่า "จำเลยทรยศต่อความไว้วางใจของนายจ้างโดยใช้สิทธิ์การเข้าถึงและความรู้ทางเทคนิคเพื่อทำลายเครือข่ายบริษัท ก่อให้เกิดความเสียหายและสร้างความสูญเสียหลายแสนดอลลาร์ให้กับบริษัทสหรัฐฯ"

แผนการแก้แค้นที่ซ่อนอยู่ในโค้ด

เอกสารของศาลระบุว่า Lu ทำงานในตำแหน่งนักพัฒนาซอฟต์แวร์ให้กับบริษัทในรัฐโอไฮโอตั้งแต่เดือนพฤศจิกายน 2007 ถึงตุลาคม 2019 แต่หลังจากที่บทบาทและการเข้าถึงระบบของเขาลดลงหลังจากการปรับโครงสร้างองค์กรในปี 2018 Lu ได้วางแผนที่จะฝังโค้ดอันตรายตั้งแต่ประมาณเดือนสิงหาคม 2019 ซึ่งส่งผลให้ระบบล่มและผู้ใช้ไม่สามารถเข้าสู่ระบบได้ เพื่อทำลายระบบอย่างแยบยล Lu ได้สร้าง infinite loops ในซอร์สโค้ดเพื่อทำให้เซิร์ฟเวอร์ล่มโดยการสร้าง Java threads ใหม่ๆ ซ้ำๆ โดยไม่มีการยกเลิกที่เหมาะสม นอกจากนี้เขายังลบไฟล์โปรไฟล์ของเพื่อนร่วมงาน และที่ร้ายกาจที่สุดคือการติดตั้ง Kill Switch ซึ่งจะล็อกผู้ใช้ทั้งหมดไม่ให้เข้าถึงระบบได้ หากบัญชีของเขาใน Active Directory ของบริษัทถูกปิดใช้งาน กระทรวงยุติธรรมสหรัฐฯ เผยว่า 'Kill-Switch' ดังกล่าว ซึ่ง Lu ตั้งชื่อว่า 'IsDLEnabledinAD' ที่ย่อมาจาก 'Is Davis Lu enabled in Active Directory' ได้ทำงานโดยอัตโนมัติเมื่อเขาถูกพักงานและต้องส่งคืนแล็ปท็อปของบริษัทในวันที่ 9 กันยายน 2019 ซึ่งส่งผลกระทบต่อผู้ใช้หลายพันคนทั่วโลก นอกจากนี้ Lu ยังตั้งชื่อโค้ดอื่นว่า 'Hakai' ซึ่งเป็นคำในภาษาญี่ปุ่นที่แปลว่า "การทำลาย" และ 'HunShui' คำในภาษาจีนที่แปลว่า "การหลับ" หรือ "ความเซื่องซึม" ซึ่งเผยให้เห็นถึงเจตนาร้ายที่ซ่อนอยู่

หลักฐานที่มัดตัว และบทเรียนสำคัญสำหรับองค์กร

ในวันที่ Lu ได้รับคำสั่งให้คืนแล็ปท็อปที่ทำงาน เขาลบไดเรกทอรี Linux และโครงการอื่นๆ อีกสองโครงการ และพยายามลบข้อมูลในวอลุ่มที่เข้ารหัสไว้ ประวัติการค้นหาในอินเทอร์เน็ตของเขาแสดงให้เห็นถึงวิธีการที่เขาค้นคว้าเพื่อยกระดับสิทธิ์การเข้าถึง, ซ่อนกระบวนการทำงาน, และลบไฟล์ ซึ่งชี้ให้เห็นว่าเขาพยายามขัดขวางความพยายามของบริษัทในการแก้ไขปัญหาที่เกิดขึ้น การกระทำที่ผิดกฎหมายของ Lu สร้างความเสียหายให้กับบริษัทหลายแสนดอลลาร์ Brett Leatherman ผู้ช่วยผู้อำนวยการจากแผนกไซเบอร์ของ FBI กล่าวว่าคดีนี้เน้นย้ำถึงความสำคัญของการระบุภัยคุกคามจากคนวงใน (Insider Threats) ตั้งแต่เนิ่นๆ

คำถามที่พบบ่อย

  • Q: Davis Lu ถูกตัดสินจำคุกกี่ปี?
  • A: เขาถูกตัดสินจำคุก 4 ปี
  • Q: Davis Lu ใช้ Malware อะไร?
  • A: เขาใช้ Malware ที่มี Kill Switch ซึ่งถูกสร้างขึ้นเองและตั้งชื่อว่า 'IsDLEnabledinAD'
  • Q: มูลค่าความเสียหายจากเหตุการณ์นี้คือเท่าไหร่?
  • A: มูลค่าความเสียหายอยู่ที่หลายแสนดอลลาร์

บทเรียนที่องค์กรต้องเรียนรู้จากเหตุการณ์นี้

คดีของ Davis Lu เป็นอุทาหรณ์ที่สะท้อนให้เห็นว่าภัยคุกคามด้านความปลอดภัยทางไซเบอร์ไม่ได้มาจากภายนอกเสมอไป คนในองค์กร ที่มีความรู้และไม่พอใจ สามารถสร้างความเสียหายได้อย่างมหาศาล เพื่อป้องกันเหตุการณ์เช่นนี้ องค์กรควร:
  1. จำกัดสิทธิ์การเข้าถึง: ควรจำกัดสิทธิ์การเข้าถึงข้อมูลและระบบของพนักงานให้เหมาะสมกับหน้าที่ความรับผิดชอบเท่านั้น
  2. ใช้ระบบการตรวจจับภัยคุกคามจากภายใน: ลงทุนในเทคโนโลยีที่สามารถตรวจจับพฤติกรรมที่ผิดปกติของพนักงาน
  3. กำหนดนโยบายการลาออกที่รัดกุม: เมื่อพนักงานลาออกหรือถูกให้ออก ควรปิดการเข้าถึงระบบทั้งหมดทันทีและตรวจสอบอุปกรณ์ของบริษัทอย่างละเอียด
CTA BLOG TTT-WEBSITE:
  • สมัครรับข่าวสาร: ติดตามข่าวสาร Cybersecurity และเทรนด์ล่าสุดเพื่อปกป้องธุรกิจของคุณ!
  • แชร์บทความนี้: เรื่องนี้เป็นอุทาหรณ์สำคัญสำหรับทุกคน! แชร์บทความนี้ ให้เพื่อนร่วมงานของคุณได้อ่าน!
  • แสดงความคิดเห็น: คุณคิดว่าบริษัทควรมีมาตรการป้องกันอะไรเพิ่มเติมจากนี้บ้าง? มาแลกเปลี่ยนมุมมองกัน!